2. 程式人生 > >Django之跨域請求同源策略

Django之跨域請求同源策略

阿新 發佈:2018-11-28

同源策略:

首先基於安全的原因,瀏覽器是存在同源策略這個機制的,同源策略阻止從一個源載入的文件或指令碼獲取或設定另一個源載入的文件的屬性。

而如果我們要跳過這個策略,也就是說非要跨域請求,那麼就需要通過JSONP或者CORS來實現了。

 

一個源的定義

 

如果兩個頁面的協議,埠(如果有指定)和域名都相同,則兩個頁面具有相同的

 

舉個例子:

 

下表給出了相對http://a.xyz.com/dir/page.html同源檢測的示例: 

 

 

URL 結果 原因
http://a.xyz.com/dir2/other.html 成功  
http://a.xyz.com/dir/inner/another.html 成功  
https://a.xyz.com/secure.html 失敗 不同協議 ( https和http )
http://a.xyz.com:81/dir/etc.html 失敗 不同埠 ( 81和80)
http://a.opq.com/dir/other.html 失敗 不同域名 ( xyz和opq)

 

 

JSONP

什麼是JSONP

首先提一下JSON這個概念,JSON是一種輕量級的資料傳輸格式,被廣泛應用於當前Web應用中。JSON格式資料的編碼和解析基本在所有主流語言中都被實現,所以現在大部分前後端分離的架構都以JSON格式進行資料的傳輸。

合格的json物件:

["one", "two", "three"]
{ "one": 1, "two": 2, "three": 3 }
{"names": ["張三", "李四"] }
[ { "name": "張三"}, {"name": "李四"} ] 

 不合格的json物件:

複製程式碼 
{ name: "張三", 'age': 32 }  // 屬性名必須使用雙引號
[32, 64, 128, 0xFFF] // 不能使用十六進位制值
{ "name": "張三", "age": undefined }  // 不能使用undefined
{ "name": "張三",
  "birthday": new Date('Fri, 26 Aug 2011 07:13:10 GMT'),
  "getName":  function() {return this.name;}  // 不能使用函式和日期物件
}
複製程式碼

stringify與parse方法

JavaScript中關於JSON物件和字串轉換的兩個方法:

JSON.parse(): 用於將一個 JSON 字串轉換為 JavaScript 物件 

JSON.parse('{"name":"Q1mi"}');
JSON.parse('{name:"Q1mi"}') ;   // 錯誤
JSON.parse('[18,undefined]') ;   // 錯誤

JSON.stringify(): 用於將 JavaScript 值轉換為 JSON 字串。 

JSON.stringify({"name":"Q1mi"})

 

那麼JSONP是什麼呢? 

首先丟擲瀏覽器同源策略這個概念,為了保證使用者訪問的安全,現代瀏覽器使用了同源策略,即不允許訪問非同源的頁面,詳細的概念大家可以自行百度。這裡大家只要知道,在ajax中,不允許請求非同源的URL就可以了,比如www.a.com下的一個頁面,其中的ajax請求是不允許訪問www.b.com/c.php這樣一個頁面的。

JSONP就是用來解決跨域請求問題的,那麼具體是怎麼實現的呢?

JSONP原理

ajax請求受同源策略影響,不允許進行跨域請求,而script標籤src屬性中的連結卻可以訪問跨域的js指令碼,利用這個特性,服務端不再返回JSON格式的資料,而是返回一段呼叫某個函式的js程式碼,在src中進行了呼叫,這樣實現了跨域。

JSONP具體實現:

前端:

後臺:

總結:

一句話就是利用script標籤繞過同源策略,獲得一個類似這樣的資料。

ajax裡邊的callbacks本質上是(偽裝成script標籤src屬性發送請求的方式)傳送一個回撥方法,引數data就是想得到的json資料。

 

 

CORS 定義

Cross-Origin Resource Sharing(CORS)跨來源資源共享是一份瀏覽器技術的規範,提供了 Web 服務從不同域傳來沙盒指令碼的方法,以避開瀏覽器的同源策略,是 JSONP 模式的現代版。與 JSONP 不同,CORS 除了 GET 要求方法以外也支援其他的 HTTP 要求。另一方面,JSONP 可以在不支援 CORS 的老舊瀏覽器上運作。現代的瀏覽器都支援 CORS。

CORS 對比 JSONP

都能解決 Ajax直接請求普通檔案存在跨域無許可權訪問的問題

  1. JSONP只能實現GET請求,而CORS支援所有型別的HTTP請求
  2. 使用CORS,開發者可以使用普通的XMLHttpRequest發起請求和獲得資料,比起JSONP有更好的錯誤處理
  3. JSONP主要被老的瀏覽器支援,它們往往不支援CORS,而絕大多數現代瀏覽器都已經支援了CORS

CORS的實現

CORS有很多種實現方式,這裡介紹一種最簡單最直觀的的方式,就是修改views.py中對應函式,給它的響應頭部新增Access-Control-Allow-Origin餐具允許其他域通過Ajax請求資料,如下:

前端:

注:上面圖片中資料傳輸過來為none(   ),利用Jaon.parse()進行轉物件 提取data 資料

後臺:

注:response["Access-Control-Allow-Origin"]="http://127.0.0.1:8006" #指定ip可訪問,‘*’ 為所有ip均可

 

相關推薦

Django請求同源策略

同源策略: 首先基於安全的原因,瀏覽器是存在同源策略這個機制的,同源策略阻止從一個源載入的文件或指令碼獲取或設定另一個源載入的文件的屬性。 而如果我們要跳過這個策略,也就是說非要跨域請求,那麼就需要通過JSONP或者CORS來實現了。   一個源的定義   如果兩個頁面的協議,

Ajax請求 同源策略與Jsonp

就是 pen 針對 api 自己的 發送請求 cdn esp 自己 同源策略(Same origin policy)是一種約定,它是瀏覽器最核心也最基本的安全功能,如果缺少了同源策略,則瀏覽器的正常功能可能都會受到影響。可以說Web是構建在同源策略基礎之上的,瀏覽器只是

網頁中的請求 同源策略解決方案

  品習知識點 簡單表述幾個概念,詳解@度娘。 1、同源策略,瀏覽器最核心的安全功能,在無授權情況下,只允許讀寫相同源的資源。其中源(Origin)指的是協議、域名、介面,同源即三者相同。 2、預檢請求,瀏覽器出於安全策略,在跨域請求資料時候預先發起請求,以知是否可跨域請求資料的請求。 關

$Django 問題(同源策略) vue專案(axios請求資料)

1 跨域問題 #同源策略 #本站的只能請求本站域名的資料 #CORS實現(跨域資源共享) #實現CORS通訊的關鍵是伺服器。只要伺服器實現了CORS介面,就可以跨源通訊。 #CORS基本流程 #1_CORS請求分成兩類:簡單請求(simple request)和非簡

Ajax、Json、Socket和Canvas同源策略限制的解決方法

b2c editor spec acache 查詢 方案 fin agent pla 同源是指同樣的協議、域名、port,三者都同樣才屬於同域。不符合上述定義的請求,則稱為跨域。 相信每一個開發者都曾遇到過跨域請求的情況,盡管情況不一樣,但問題的本質都能夠歸為瀏覽器出

Python Tornado請求與Options請求

問題背景 公司的專案是前後端分離,前端Vue+後端JavaSpringBoot為主,部分功能是PythonTornado,那麼需要支援一個是跨域以及Options請求。 Option請求 只需要跟處理get一樣處理options請求就可以了。vue一般需要訪問options方

vue 請求代理與axios傳參

一:跨域請求代理1:開啟config/index.jsmodule.exports{ dev: { } }在這裡面找到proxyTable{},改為這樣:proxyTable: { '/api': { target: 'http:/

關於請求和django處理請求最佳解決方案的總結

一、什麼是跨域請求?跨域:簡單來說就是 A 網站的 javascript 程式碼試圖訪問 B 網站,包括提交內容和獲取內容。這顯然是不安全的。為此,瀏覽器的鼻祖:網景(Netscape)公司提出了優秀的

Python-Django-CORS請求

跨域CORS我們為前端和後端分別設定了兩個不同的域名位置域名前端www.meiduo.site後端api.meiduo.site現在,前端與後端分處不同的域名,我們需要為後端新增跨域訪問的支援。我們使用CORS來解決後端對跨域訪問的支援。使用django-cors-heade

python路--web--2--Django-6-請求偽造

跨站 orm 使用 ade safe spa doctype n) java 三、 跨站請求偽造 一、簡介 django為用戶實現防止跨站請求偽造的功能,通過中間件 django.middleware.csrf.CsrfViewMiddleware 來完成。而對於djang

Django 請求處理

中間件 不同 解決 span http als todo 分享 title 參考https://blog.csdn.net/qq_27068845/article/details/73007155 http://blog.51cto.com/aaronsa/2071108

django中配置允許請求

apps ons token middle red href clas cors nbsp 對於django 安裝django-cors-headers,詳情請看官方文檔 pip install django-cors-headers    配置settings.py

js請求jsonp原理和運用

1、js請求後端服務時,域名不同或域名相同埠不同都是跨域; 2、無論哪個瀏覽器js都不能跨域請求後端服務,解決辦法為jsonp;jsonp不是新技術,只是一個解決方案;即js不請求後端服務而是跨域請求js,即跨域載入js檔案,而這個js檔案由伺服器端返回。 3、js中可以在cookie中取出

Django-伺服器端物件-請求

Django-伺服器端物件-跨域請求 在介面函式中配置 from django.http import HttpResponse,response,JsonResponse def login(request): todo_list = [ {"

Django請求配置

安裝 pip install django-cores 配置 settings.py裡寫 if DEBUG: INSTALLED_APPS += ('corsheaders',) MIDDLEWARE_CLASSES += ('corsheaders.middlewa

django設定並獲取cookie/session,檔案上傳,ajax接收檔案,post/get請求請求等的方法

django設定並獲取cookie/session,檔案上傳,ajax接收檔案等的方法: views.py檔案: from django.shortcuts import render,HttpResponse,redirect import datetime import json from

前後端分離,解決問題及django的csrf請求保護 ajax headers JavaScript ajax 請求 +設定headers 實踐

1. 前後端分離解決跨域問題 解決跨域呼叫服務並設定headers 主要的解決方法需要通過伺服器端設定響應頭、正確響應options請求,正確設定 JavaScript端需要設定的headers資訊 方能實現; 關於跨域,前端會先發送OPTIONS請求,進行預檢,檢查後端是否允許前端設定的相應的請求頭,請

React中Fetchcors請求的使用

本篇文章主要介紹了react中fetch之cors跨域請求的實現方法,寫的十分的全面細緻,具有一定的參考價值,對此有需要的朋友可以參考學習下。如有不足之處,歡迎批評指正。 專案中使用了react,當中需要使用fetch來代替ajax。 由於react的create_reac

Django】實現請求

目錄 JsonP實現跨域 在Django中介軟體中新增響應頭 @ *** CORS 即 Cross Origin Resource Sharing 跨域資源共享. 跨域請求分兩種:簡單請求、複雜請求. 簡單請求 簡單請求必須滿足下述條件. HTTP方法為這三種方法之一:HEAD

SpringCloudApiGateway支援Cors請求

問題背景 公司的專案需要前後端分離,vue+java,這時候就需要支援Cors跨域請求了。最近對zuul進行升級,假如說zuul是1.0的話,api gateway就是2.0的閘道器,支援ws等,基於NIO,各方面還是強大的。 解決方案 新建一個Configuration類即